中文

“滴滴出行”App下架背后的网络安全审查制度解读

2021-07-06

数据合规 “滴滴出行”App下架背后的网络安全审查制度解读

作者马清泉 ,王译萱

作者：马清泉 ,王译萱

本文目录

前言

一、关于网络安全审查办公室

二、关于网络安全审查制度

（一）网络安全审查的基本概念

（二）网络安全审查的出台背景

（三）网络安全审查的法律依据

（四）网络安全审查的审查内容

（五）申报网络安全审查的情形

（六）网络安全审查的申报时间

（七）网络安全审查的时间期限

（八）网络安全审查的申报材料

（九）违反审查的相关法律责任

三、企业如何应对网络安全审查

（一）关键信息基础设施运营者

（二）网络产品和服务供应商

总结

前言

7月2日晚间，网络安全审查办公室发布公告称，对“滴滴出行”启动网络安全审查，审查期间停止新用户注册。

7月5日上午，网络安全审查办公室再度发布公告，将按照《网络安全审查办法》，对“运满满”“货车帮”“BOSS直聘”实施网络安全审查。为配合网络安全审查工作，防范风险扩大，审查期间“运满满”“货车帮”“BOSS直聘”停止新用户注册。

以上两则公告让“网络安全审查”这一词语走进了大众视野，大家也纷纷好奇“网络安全审查办公室”是一个怎样的机构，“网络安全审查”又是什么制度，哪些企业在什么情况下需要面临网络安全审查等等。

本文接下来即对以上问题分别向大家进行介绍，并就企业如何应对网络安全审查提出合规建议。

关于网络安全审查办公室

前面所述两则公告均是发自网络安全审查办公室，实际上网络安全审查办公室并不是一个新设的机构，最早可以见于四年前的《网络产品和服务安全审查办法（征求意见稿）》文件中。

时间回溯至2017年2月4日，国家网信办在官网公开《网络产品和服务安全审查办法(征求意见稿)》，提出网络安全审查办公室设在国家互联网信息办公室，负责组织制定网络安全审查相关制度规定和工作程序、组织网络安全审查、监督审查决定的实施。

在《网络产品和服务安全审查办法(征求意见稿)》公布近3个月后，国家网信办正式发布了《网络产品和服务安全审查办法(试行)》。

根据《网络产品和服务安全审查办法（试行）》第五条规定，网络安全审查办公室具体组织实施网络安全审查。

《网络产品和服务安全审查办法（试行）》与《网络安全法》在2017年6月1日同一时间正式实施，是《网络安全法》的重要配套规章。

2020年4月27日，《网络安全审查办法》正式发布，自2020年6月1日起实施，同时宣布废止《网络产品和服务安全审查办法（试行）》。

《网络安全审查办法》第四条第一款明确了“一个领导+十二个部门”的国家网络安全审查的工作机制，具体如下：

一个领导：央网络安全和信息化委员会。

十二个部门：国家互联网信息办公室、中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局。

同时，《网络安全审查办法》第四条第二款明确了网络安全审查办公室的设置及职责：网络安全审查办公室设在国家互联网信息办公室，负责制定网络安全审查相关制度规范，组织网络安全审查。

至此，通过《网络安全审查办法》第四条第二款的规定，我们可以知道网络安全审查办公室是一个设在国家互联网信息办公室，负责制定网络安全审查相关制度规范，组织网络安全审查的机构。

关于网络安全审查

根据上述内容，我们可以了解到网络安全审查办公室负责组织网络安全审查，接下来就和大家介绍一下关于网络安全审查的相关内容，包括这项制度的基本概念、出台背景、法律依据、审查内容等等。

（一）网络安全审查的基本概念

网络安全审查是在中央网络安全和信息化委员会领导下，为保障关键信息基础设施供应链安全，维护国家安全而建立的一项重要制度。

（二）网络安全审查的出台背景

结合《网络安全审查办法》答记者问，关键信息基础设施对国家安全、经济安全、社会稳定、公众健康和安全至关重要。我国建立网络安全审查制度，目的是通过网络安全审查这一举措，及早发现并避免采购产品和服务给关键信息基础设施运行带来风险和危害，保障关键信息基础设施供应链安全，维护国家安全。

习近平总书记曾在全国网络安全和信息化工作会议上提到，没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。所以，网络安全审查制度也是为了维护国家安全。

（三）网络安全审查的法律依据

《网络安全审查办法》属于部门规章，进行网络安全审查的上位法依据是《国家安全法》和《网络安全法》，其中主要使用的规定为《国家安全法》第五十九条及《网络安全法》第三十五条。

《国家安全法》第五十九条

国家建立国家安全审查和监管的制度和机制，对影响或者可能影响国家安全的网络信息技术产品和服务，以及其他重大事项和活动，进行国家安全审查。

《网络安全法》第三十五条

关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

从《网络安全法》《国家安全法》到《网络安全审查办法》，上位法和实施细则均已配置完善，对于网络安全审查的开展提供了明确的、具体的法律依据。

（四）网络安全审查的审查内容

《网络安全审查办法》第五条规定，运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。

因此，网络安全审查中重点评估的是关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险，主要考虑以下因素：

产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险；
产品和服务供应中断对关键信息基础设施业务连续性的危害；
产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；
产品和服务提供者遵守中国法律、行政法规、部门规章情况；
其他可能危害关键信息基础设施安全和国家安全的因素。

（五）申报网络安全审查的情形

根据前述内容，关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的，应当按照《网络安全审查办法》进行网络安全审查，需要进一步判断哪些网络运营者在采购产品和服务需要考虑申报网络安全审查。

对此，根据中央网络安全和信息化委员会《关于关键信息基础设施安全保护工作有关事项的通知》精神，电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者在采购网络产品和服务时，应当按照《网络安全审查办法》要求考虑申报网络安全审查。

（六）网络安全审查的申报时间

根据《网络安全审查办法》第五条的规定，运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。

通常情况下，关键信息基础设施运营者应当在与产品和服务提供方正式签署合同前申报网络安全审查，同时运营者作为采购方应通过采购文件、协议等要求产品和服务提供者配合网络安全审查，包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或必要的技术支持服务等。

如果在签署合同后申报网络安全审查，建议在合同中注明此合同须在产品和服务采购通过网络安全审查后方可生效，以避免因为没有通过网络安全审查而造成损失。

（七）网络安全审查的时间期限

虽然滴滴、BOSS直聘等涉及网络安全审查的企业会积极配合网络安全审查工作，但对于企业而言，停止新用户注册会对自身的商业经营产生直接影响，同时停止在App注册新用户也会对潜在的用户产生影响，也就会涉及网络安全审查的时间问题。

关于网络安全审查的时间安排，《网络安全审查办法》第十条规定，网络安全审查办公室认为需要开展网络安全审查的，应当自向运营者发出书面通知之日起30个工作日内完成初步审查，包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见；情况复杂的，可以延长15个工作日。

据此，我们可以知道，通常情况下，网络安全审查会在30个工作日内完成，情况复杂的会延长15个工作日。

但如果网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门意见不一致的，会按照特别审查程序处理，并通知运营者。此时，根据《网络安全审查办法》第十三条的规定，特别审查程序一般应当在45个工作日内完成，情况复杂的可以适当延长。

（八）网络安全审查的申报材料

《网络安全法》第七条对运营者申报网络安全审查，应当提交以下材料进行了规定：

申报书；
关于影响或可能影响国家安全的分析报告；
采购文件、协议、拟签订的合同等；
网络安全审查工作需要的其他材料。

（九）违反审查的相关法律责任

对于违反《网络安全审查办法》需要承担的法律责任问题，该《办法》并未作出在直接规定，第十九条表明，运营者违反该《办法》的，依照《中华人民共和国网络安全法》第六十五条处理。

根据《网络安全法》第六十五条的规定可知，应当申报网络安全审查而没有申报的，或者使用网络安全审查未通过的产品和服务，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

企业如何应对网络安全审查

（一）关键信息基础设施运营者

对于关键信息基础设施运营者，作为采购方，为了降低生产运营中网络产品和服务采购的合规风险，应当尽快建立配套的企业内部合规制度，并就自身网络安全和服务采购的机制进行审查。

在具体内部合规审查上，可以包括但不限于以下方面：

1. 对网络产品和服务提供商的安全资质进行事先审查；

2. 将自身与网络产品和服务提供商的采购协议进行完善，约定其对网络安全审查的配合义务；

3. 进一步约定不遵守网络安全审查中所做承诺所需向运营者承担的违约责任；

4. 结合《网络安全审查办法》的要求，将网络安全审查纳入到企业标准化的采购流程之中等。

鉴于目前有关运营者范围、需申报网络产品与服务采购具体类别等指南尚未公布的情况下，运营者可能难以准确把握申报的启动标准和时机，可以就自身是否属于运营者与行业监管部门进行密切的沟通和确认。

同时，企业可以参照《关键信息基础设施安全保护条例（征求意见稿）》等文件，对于不确定是否要进行网络安全审查申报的产品和服务采购，与网信办和关键信息基础设施保护工作部门进行充分的沟通和确认。

（二）网络产品和服务供应商

而对于网络产品和服务供应商，建议进一步加强整体的网络安全合规工作，包括等级保护及网络安全制度建设、个人信息和重要数据制度建设、网络安全事件应急预案等。

同时，在《网络安全审查办法》第十四条规定中，根据网络安全审查办公室要求提供补充材料的，运营者、产品和服务提供者应当予以配合。因此，供应商还需积极配合关键信息基础设施运营者的审查申报，以免因不满足审查要求而失去相关的商业机会。

总结

通过本文，相信大家对于网络安全审查办公室与网络安全审查制度有了基本的了解，但可能有些企业会想，这会不会仅仅是个例呢？

对此，笔者认为，这两则公告已经正式拉开了《网络安全审查办法》生效后我国网络安全审查工作的第一幕，网络安全审查工作后续将不断开展。

一方面从《网络安全法》《国家安全法》再到《网络安全审查办法》，在相关法律法规文件的配置上已经基本完善，网络安全审查工作开展已有法可依。

另一方面通过之前金融监管部门约谈蚂蚁集团后，又对从事金融业务的十多家平台进行约谈并提出整改要求可知，这两则公告应该仅仅是一个开始。

最后，建议相关企业在专业人士的协助下，严格按照《网络安全法》《网络安全审查办法》的要求，立即开展自身的合规审查工作，全面排查准备采购和已经使用的网络产品和服务，及时做出安排与调整，积极面对网络安全审查。

马清泉

律师

maqingquan@wincon.cn

0532-68972937

马清泉律师的主要业务领域为投资并购与公司治理、网络安全与数据合规、商事诉讼与仲裁，曾为多家新经济和相关技术企业（涵盖人工智能、工业互联网、电信媒体、海洋科技、医疗健康等领域）提供专业支持。多次参与股权投资、破产重组、外商投资及其他资本市场业务，提供有关尽职调查、架构设计、交易谈判、文件起草及交易交割等全周期服务。

马清泉律师是国内首批具有EXIN DPO（数据保护官）＆ISO（信息安全官）双资质的法律从业者，并已获得PDPF、PDPP、ISFS、ISMP等职业认证，同时具有相关BI工程师认证。

王译萱

律师

wangyixuan@wincon.cn

0532-85773167

王译萱律师主要业务领域为民商事诉讼/仲裁，房地产与建设工程，公司与并购，科技与互联网。可围绕基础电信设施的建设和开发，大数据、个人信息及隐私保护、数据收集与跨境传输及数字娱乐等方面提供相关法律服务。

王译萱律师具有数据合规官资格，国际EXIN DPO（Data Protection Officer数据保护官）资格，并通过PDPP、PDPF、ISO/IEC 27001 Foundation资格认证。

工作语言为中文、德文与英文。